| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
刚刚过去的2017黑帽大会上,顶级黑客们讨论了三大安全主题和趋势:一、物联网软硬件安全;二、机器学习正在沦为恶意攻击者的帮凶;三、地缘政治类黑客活动与信息误导型活动快速兴起。
前两大威胁趋势中,恶意软件都担任着重要角色,同时,相关技术成果已经开始被用于改善恶意软件与攻击检测效果。
[出自:jiwo.org]
万物互联的物联网(IoT)的发展,黑客可以造就更多的僵尸网络,这不仅会让企业的终端控制权逐渐丧失,大量属于企业和不属于企业的移动设备随时随地的接入网络,让黑客攻击选择跳板的可选择性也越来越大,随之而来,抓捕、追踪的难度也越来越大。
本次大会上,黑客通过机器学习建立模型,通过输入被攻击对象的个人信息,预测了BEC攻击(针对高层管理人员的诈骗攻击)的成功率,还可以分辨出哪些信息可让攻击奏效。在这个过程中,社会工程学也发挥着关键性作用,攻击者利用人类心理学中的三个弱点:恐惧、好奇、缺乏安全感,如若攻击者再选择一个适当的时间,攻击的成功率更是蹭蹭往上涨。
与黑帽大会齐名的DEF CON黑客大会上,一位专家展示了一套机器学习系统OpenAI GYM,这套系统能够批量创建可以规避检测的恶意软件,并在15个小时内让10万种恶意软件样本中的16%顺利通过了安全系统的防御扫描。
机器学习可以说是一把双刃剑,恶意攻击者用得好,或许可以一嘴吃个大胖子;安全人员用得好,所要保护的重要数据或资产必然坚不可摧。
随着技术的发展,恶意攻击者攻击目的性越来越明确,企业安全人员的责任更重,目前较有影响力的恶意攻击者的攻击目的大致可分为两类:
l 一类主要是为牟利,攻击者更倾向于“高智商”攻击,瞄准企业的核心数据资产,通常他们都是经过长时间策划,潜伏极具隐匿性,攻击者或会尝试通过恶意软件、社会工程等众多攻击方式逐渐渗透,直至获取服务器权限或将重要数据外发,在这个过程中,甚至会存在为了掩盖真实目的而发起的误导性攻击活动;
l 另一类攻击则是带有地缘政治性目的的针对关键信息基础设施的具有破坏性的攻击,例如前段时间的乌克兰电力基础设施遭到黑客攻击,导致其大规模停电,停电相对断网来说更加可怕,现代企业高度依赖计算机,企业不能开展正常工作,损失同样巨大。
在这两大类恶意攻击中,黑客将会越来越多的运用机器学习去改良攻击方式、节约时间成本、争取最大“效益”,而企业要保护数据资产,想从海量的数据中发现端倪,就需要具备与攻击者对等的技术与之抗衡。
除此之外,大多数企业本身尚存在短板:安全技术人员不充足,甚至人员匮乏;安全人员所持有的技术是否与相应的职位要求的技能匹配也是一个问题。
提高企业安全运维能力、增加各类安全设备的联动性、升级企业对安全威胁的发现以及处理海量数据的能力,加快企业对安全事件的响应速度,才能发挥有限的安全资源的巨大潜力。
Gartner(高德纳)全球最具权威的IT研究与顾问咨询公司研究副总裁威尔·卡佩利预测,对许多组织机构而言,大数据和机器学习这两大技术均能作为强大的网络安全工具,未来将必不可少。2016年,全球将大数据和机器学习应用到安全相关的用例花费近8亿美元(约55亿人民币),大数据占比约80%,机器学习20%。企业正将这些技术视为一个架构的两大组成部分。
说到这里,不得不提到被全球著名咨询机构企业战略集团(ESG)提出的安全运营和分析平台架构SOAPA。
SOAPA 架构
SOAPA是一个基于机器学习、大数据分析等技术的下一代安全信息与事件管理(SIEM)框架,除了具备SIEM功能外,集成了九大特色组件:端点检测/响应工具EDR、事件响应、网络分析、用户行为分析(UBA)、机器学习、防病毒沙箱、威胁情报、漏洞扫描和安全资产管理。以SOAPA为基础的SOC具备一个企业较为完备的运维管理能力及发现、响应威胁攻击的能力,能够实时、智能地使用、处理和分析安全数据。不仅在一定程度上弥补了安全人员缺口的问题,还能让少量的安全运维人员非常清晰的管理企业所有端点设备。
国内首家定位于SOAPA(安全运营与分析平台架构)的安全公司——兰云科技
传统安全信息与事件管理(SIEM),主要是基于日志的分析技术,融合了安全事件的历史分析和报告并专注于取证分析的SIM以及关注实时事件监控和应急处理的SEM。但之前以SIEM为核心的SOC在国内使用得并不成功,缺乏与用户业务的有效结合来提高告警的准确度。
如果我们把视角转换到国内,刚刚宣布完成A轮融资5000万的兰云科技,给我们提供了一个比较贴切的利用大数据和机器学习的案例。兰云的SOAPA产品已经在能源,金融,电信,政府等行业实际落地,用另一个资深安全媒体的评价,这是一支发展迅猛的新锐力量。
兰云科技CTO周宏斌告诉E小编:我们需要跳出安全做安全,结合企业客户业务需求,真正帮客户解决实际问题。在SOAPA架构中,我们已经推出了SIEM、网络安全分析、反恶意软件沙箱和UBA/机器学习等核心组件。在EDR、漏扫和安全资产管理、威胁情报等领域,与行业内的安全企业展开全面合作。其中,应用级沙箱配合系统级沙箱使用的优势在同类的反恶意软件沙箱中非常明显,用户行为分析(UBA)模块也从业务和攻击两个维度进行大数据建模,对入侵事件精准画像。未来兰云将继续挖掘系统级沙箱和应用级沙箱的潜能,提高未知威胁检出能力,并在用户行为分析(UBA)、机器学习上持续重兵投入。
